بدافزار جدیدی که اطلاعات مهم را از برنامه های پیام رسان سرقت میکند
اخبار داغ فناوری اطلاعات و امنیت شبکه
به گزارش سایت www.2-spyware.com، کارشناسان امنیتی یک بدافزار جدید را کشف کردند که که بدون اجازه به دستگاههای اندروید وارد میشود و اقدام به دزدی اطلاعت شخصی تایپ شده در برنامه های پیام رسان میکند. این برنامه مخرب به عنوان یک ویروس ساده ولی موثر است که قادر به پنهان کردن حضور خود در دستگاه به صورت موثر است.
این تروجان برای حفظ پایداری خود، تلاش میکند که فایل "/ etc / install-recovery.sh" را بر روی دستگاه هدف تغییر دهد. اگر این تغییر موفقیتآمیز باشد، ویروس با هر بار راهاندازی دستگاه مجددا فعال میشود.
به نظر میرسد که هدف اولیه این بدافزار، دزدیدن اطلاعات از همه پیام رسان های نصبشده روی دستگاه است و سپس آن را به یک Remote Server ارسال میکند. آدرس IP سرور ذکر شده از یک فایل پیکربندی محلی بازیابی شدهاست.این بدافزار فعالیت خود را بر روی پیام رسان های زیر به نتیجه میرساند:
- Skype
- Facebook Messanger
- Viber
- Telegram Messenger
- Line
- Tencent WeChat
- Walkie Talkie Messenger, etc.
همان طور که مشاهده میکنید اکثر پیام رسان های محبوب در سراسر جهان به منظور استخراج اطلاعات، تحتتاثیر قرار میگیرند.
پیکربندی مبهم مانع تشخیص بد افزارهای مخرب می شود
با وجود عملکرد ابتدایی این بدافزار، متوجه میشویم که از رویکرد پیچیدهای برخوردار است که در هنگام گریز از تشخیص از آن استفاده میکند.به طور معمول نرم افزارهای امنیتی نمیتوانند این تهدید را تشخیص دهند، زیرا فایل پیکربندی و یک قسمت از ماژولهای آن را مسدود میکند. تحلیل و انالیز پویا نیز براحتی مقدور نیست زیرا این بدافزار از قابلیت های ضد شبیه سازی (anti-emulator) و اشکال زدایی (debugger) ستفاده میکند.
محققان امنیتی متوجه شدهاند که بدافزار در داخل کد منبع خود، یک strings را پنهان کردهاست تا در معرض قرار نگیرد. سرور C & C و مقادیر دیگر در یک فایل پیکربندی قرار گرفته اند که به بدافزار کمک میکند تا با کنترلر خود ارتباط برقرار کند.
این بدافزار اولین بار در یک برنامه چینی بنام ماژول ابری (Cloud Module) پیدا شد و از پکیجی با نام com.android.boxa استفاده کرد. با این حال، به این دلیل که هیچ فروشگاه نرم افزارهای اندروید (Play Store) در چین وجود ندارد، بسیار محتمل است که تهدید مغرضانه از طریق وب سایتهای شخص ثالث و سایتهای اپلیکیشن آندروید توزیع شود.
دادههای نشت شده ممکن است برای اهداف غیر قانونی استفاده شوند
حتی اگر دادههای جمعآوریشده ممکن است اطلاعات حیاتی مانند کلمه عبور بانکی را افشا نکنند، میتواند اطلاعات مفید دیگری مانند محل ملاقات، پروژهها، نامها و غیره را جمعآوری کند. این دادهها میتوانند برای تعیین اهداف و گرایشهای سازمانها به کار روند.علاوه بر این، می توان آن را برای کمپین های جاسوسی یا برای کسب اطلاعات در مورد کارکنان خاص برای اجرای کمپین های فیشینگ و آلوده کردن شبکه ها با ransomware یا تهدیدات سایبری مشابه استفاده کرد.
مدیر خدمات مشاورهای EMEA، آقای Neil Haskins نگران شیوه و روش شرکتها و کارمندانی است که اطلاعات حساس را اداره میکنند:
"بسیاری از سازمانها زمان، پول و منابع را صرف امنیت پلتفرم های ایمیل با آخرین و بزرگترین تکنولوژی میکنند. آنها اسناد پالیسی های پست الکترونیکی را بیرون میآورند و سپس به کاربران در مورد استفاده مناسب از ایمیل آموزش میدهند، و فراموش میکنند که کارمندان نیاز دارند که اطلاعات بیشتری در خصوص پیام رسان ها دریافت کنند، و در حقیقت، چون ایمیل آنها را مسدود میکنند، آنها از پیغام رسان ها برای عبور از فیلترینگ ایمیل ها استفاده میکنند. این طبیعت انسان است. با توجه به این حقیقت که اکثر مردم برنامههای پیامرسانی چندگانه در لب تاپها، تبلت ها و تلفنهای همراه دارند، میبینیم که سطح حمله بسیار عظیم است."
برای اجتناب از نشت دادههای غیر ضروری، ما به کاربران Android توصیه میکنیم که هرگز برنامههای کاربردی را از طرف ثالث دانلود نکنند و تنها از گوگل و فروشگاه های معتبر برای این منظور استفاده کنند.
برچسب ها: Android , EMEA, ransomware , com.android.boxa, Cloud Module, ضد شبیه سازی, anti-emulator, debugger, Walkie Talkie Messenger, Tencent WeChat, Weibo, Line, Telegram Messenger, Viber, Twitter, Facebook Messanger, Skype, Remote Server, ویروس, Anti-Malware, اندروید, باج افزار, بدافزار